Microsoft verstärkt den Schutz von Windows Update

Die Analyse der Malware „Flame“ ergab unter anderem, dass sich der Schädling in einem lokalen Netzwerk als gefälschtes Windows-Update ausgab und so verbreiten konnte. Die hierzu missbrauchte Zertifikatsstruktur wurde bereits durch das zum Sicherheitshinweis 2718704 gehörende Update unbrauchbar gemacht. In einem weiteren Schritt erhöht Microsoft jetzt die Robustheit von Windows Update und Windows Update Server Services (WSUS).

Der Client für Windows Update, also die zentrale Update-Komponente auf jedem Windows-System, wurde verbessert (Details hier) und akzeptiert jetzt nur noch Dateien, die mit einem speziell hierfür erzeugten Zertifikat signiert wurden. Dieses Zertifikat wird ausschließlich zum Signieren von Updates eingesetzt und ist ansonsten unabhängig von der Microsoft Zertifikatsinfrastruktur. Außerdem wird durch den neuen Client die Kommunikation zwischen Client und den Windows-Update-Servern noch besser abgesichert. Der überarbeitete Client steht in den kommenden Tagen zur Verfügung.

Sollte der Zugriff der Windows-Clients auf Windows Update durch SSL- oder HTTPS-Proxys laufen, die den Datenverkehr per Deep Paket Inspection analysieren, müssen für das einwandfreie Funktionieren des verbesserten Windows-Update-Verfahrens Ausnahmen im Proxy definiert werden. Details hierzu finden sich im entsprechenden Knowledgebase-Eintrag. In diesem Eintrag finden sich auch die Download-Links für die WSUS-Updates.